资源预览内容
第1页 / 共70页
第2页 / 共70页
第3页 / 共70页
第4页 / 共70页
第5页 / 共70页
第6页 / 共70页
第7页 / 共70页
第8页 / 共70页
第9页 / 共70页
第10页 / 共70页
亲,该文档总共70页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
1IP网监控系统调研与建议网监控系统调研与建议中国电信集团广州研究院中国电信集团广州研究院2008.92存在问题后续计划存在问题后续计划4 4目录目录技术现状分析技术现状分析2 2系统部署建议系统部署建议3 3调研情况介绍调研情况介绍1 13江苏广东部署情况江苏广东部署情况江苏省江苏省在省出口,采用分光方式部署,可实现一拖N监控、P2P监控、VOIP监控和流量统计分析功能广东省广东省未在全省统一部署流量监控系统功功能能模模块块部部署署情情况况一拖一拖N N监控监控1.在广州、深圳、东莞分光方式部署了监控系统2.只针对公众用户进行监控,不对专线用户实施监控3. 购置了12台“网络尖兵”,在全省其它地市之间机动部署P2PP2P监控监控1.未在全省统一部署2.深圳全网对P2P流量进行监控3.其它地市选择了部分P2P流量较大地区进行了P2P流量监控VOIPVOIP监控监控1.监控范围为珠三角地区9地市,广州、深圳、东莞、佛山基本实现全网监控,其他5个地市不同链路之间流动监控2.各地市主要使用傲天、天讯、信通网联的VoIP监控设备流量统计分流量统计分析析1.采用机动部署方式,只对个别用户(群)进行流量统计分析2.主要基于Netflow流量进行统计分析4江苏电信监控效果江苏电信监控效果n有效打击了公众客户的私接和有效打击了公众客户的私接和“黑网吧黑网吧”现象以及现象以及“假接入,真互联假接入,真互联”n为江苏省电信公司开展的为江苏省电信公司开展的“网络护航网络护航”专项清理工作提供了保障专项清理工作提供了保障一拖N监控效果P2P监控效果n通过忙时削峰的方式降低通过忙时削峰的方式降低P2P流量对链路带宽的冲击流量对链路带宽的冲击n缓解了江苏省出口链路带宽资源紧张的现状缓解了江苏省出口链路带宽资源紧张的现状P2P调控时间:每天15:00至23:00。图示链路在15:00的流量已超过7.3Gbps,通过调控,链路负荷由94%降到85%以下,效果显著VOIP监控效果全省呼叫传统电话网VOIP总时长,6月比3月下降了53%,镇江、泰州、徐州、淮安等分公司VOIP时长显著下降5江西省安徽省部署情况江西省安徽省部署情况江西省江西省安徽省安徽省采用系统采用系统信风公司的信风公司的IPIP用户行为分析系统用户行为分析系统部署方式部署方式省网出口,分光方式监测省网出口,分光方式监测部署功能部署功能一拖一拖N N、VoIP VoIP 和和P2PP2P监控监控 系统规模系统规模对对4 410G10G上行流量进行监控上行流量进行监控实施效果实施效果系统正在建设中,实际控制系统正在建设中,实际控制效果有待验证效果有待验证 系统于系统于2006.42006.4正式运行,目正式运行,目前效果良好前效果良好系统投资系统投资450450万万500500万万后续需求后续需求1.1.希望针对单个用户行为进希望针对单个用户行为进行分析,为针对性营销提供行分析,为针对性营销提供数据基础。数据基础。 2.2.希望系统实现关键应用的希望系统实现关键应用的流量分析,并通过整合流量分析,并通过整合/ /二二次开发提供用户行为分析数次开发提供用户行为分析数据据后续建设中,考虑部署后续建设中,考虑部署P2PP2P监监控、用户行为分析和广告推控、用户行为分析和广告推送等模块送等模块6湖北省部署情况湖北省部署情况采用系统采用系统信风公司的信风公司的IPIP用用户行为分析系统户行为分析系统湖北电信下属公司绿色网络信息湖北电信下属公司绿色网络信息公司公司部署位置部署位置省网出口,分光省网出口,分光方式监测方式监测分别部署在武汉、襄樊、宜昌、黄分别部署在武汉、襄樊、宜昌、黄冈、十堰等地的冈、十堰等地的BRAS GEBRAS GE接口和接口和GSR GSR 1010GEGE接口处,分光方式监测接口处,分光方式监测部署功能部署功能一拖一拖N N监控,监控,VOIPVOIP监控监控( (试用试用) )一拖一拖N N监控监控 、VoIP VoIP 监控、监控、P2PP2P监控监控 、流量统计分析(部分功能)、流量统计分析(部分功能)系统规模系统规模可对可对6 610G10G上行上行流量进行监控流量进行监控可对上述城域网的大部分可对上述城域网的大部分GEGE链路进链路进行监控行监控实施效果实施效果有效打击一拖有效打击一拖N N和和非法非法VOIPVOIP用户用户一拖一拖N N监控、非法监控、非法VoIPVoIP监控、监控、P2PP2P监监控和流量统计分析效果明显控和流量统计分析效果明显系统投资系统投资553553万万后续需求后续需求希望提高监控系统在城域网的覆盖范围希望提高监控系统在城域网的覆盖范围7浙江省部署情况浙江省部署情况采用系统采用系统宽广公司的产品宽广公司的产品部署方式部署方式未在全省统一部署,在部分城域网有部署(以某城域未在全省统一部署,在部分城域网有部署(以某城域网为例)网为例)部署功能部署功能“一拖一拖N N”监控、非法监控、非法VoIP VoIP 监控和监控和P2PP2P监控。监控。 系统规模系统规模可对可对6 610G10G上行流量进行监控上行流量进行监控实施效果实施效果实现了实现了“一拖一拖N N”监测,并可对主流监测,并可对主流VOIPVOIP应用、应用、P2PP2P应应用实施监控用实施监控 系统投资系统投资360360万万相关建议相关建议目前的目前的IPIP网监控解决方案还不能实现网络控制、用户网监控解决方案还不能实现网络控制、用户行为分析和业务策略的有效耦合行为分析和业务策略的有效耦合建议通过标准接口引入建议通过标准接口引入SP/CPSP/CP,实现各种业务的响应和,实现各种业务的响应和灵活加载。灵活加载。8海南省部署情况海南省部署情况采用系统采用系统 宽广电信公司的解决方案宽广电信公司的解决方案部署方式部署方式 省网出口,省网出口,TMA-SSSTMA-SSS串行接入,串行接入,TMA-VOIPTMA-VOIP和和UAUA以分以分光方式监测数据光方式监测数据部署功能部署功能 非法非法VoIP VoIP 监控、监控、P2PP2P监控和用户行为分析监控和用户行为分析( (可实现可实现一拖一拖N N的监测的监测) )。 系统规模系统规模 可对可对4 42.5G2.5G上行流量进行监控上行流量进行监控实施效果实施效果 1.1.可有效抑制可有效抑制P2PP2P流量和打击非法流量和打击非法VOIPVOIP2.2.不能控制不能控制skypeskype、SkypeOutSkypeOut系统投资系统投资 目前系统使用是采用目前系统使用是采用“购买技术服务购买技术服务”的方式,的方式,未采用投资方式未采用投资方式 存在困难存在困难 IPIP网监控系统的部署要与带宽扩容、网络优化改网监控系统的部署要与带宽扩容、网络优化改造等同步考虑,其部署难度和费用都较高。造等同步考虑,其部署难度和费用都较高。 9陕西省部署情况陕西省部署情况采用系统采用系统宽广宽广TMA-VOIPTMA-VOIPCaspinCaspin流控设备流控设备上大雷克上大雷克- -网络尖兵网络尖兵部署方式部署方式 西安城域网汇西安城域网汇接层上行链路,接层上行链路,分光方式监测分光方式监测西安城域网出口西安城域网出口链路,串接方式链路,串接方式进行流量控制进行流量控制西安城域网出西安城域网出口链路口链路部署功能部署功能 VOIPVOIP监控监控P2PP2P流量控制流量控制一拖一拖N N监控监控系统规模系统规模 2 2OC48OC482 2OC192OC192机动部署机动部署实施效果实施效果 有一定效果有一定效果正在试用正在试用存在误检,目存在误检,目前只用于监测前只用于监测系统投资系统投资 4040万万不详不详10其它运营商部署情况其它运营商部署情况中国网通中国网通1.1.一拖一拖N N监控:山东、东北三省的大部分本地网监控:山东、东北三省的大部分本地网2.VOIP2.VOIP监控:沈阳本地网监控:沈阳本地网3.P2P3.P2P监控:宁波网通信息港监控:宁波网通信息港4.4.分级接入服务:哈尔滨网通分级接入服务:哈尔滨网通中国联通中国联通P2PP2P控制:部署在互联互通出口、城域网出口和部分控制:部署在互联互通出口、城域网出口和部分本地网汇聚路由器上联出口本地网汇聚路由器上联出口中国铁通中国铁通P2PP2P控制:部署在互联互通出口、城域网出口和部分控制:部署在互联互通出口、城域网出口和部分本地网汇聚路由器上联出口本地网汇聚路由器上联出口英国电信英国电信差异化服务和流量分析:部署在局部区域差异化服务和流量分析:部署在局部区域法国电信法国电信流量分析和内容计费:试验性部署流量分析和内容计费:试验性部署韩国电信韩国电信1.P2P1.P2P总量控制总量控制: : 部署在部分网络出口部署在部分网络出口2.2.内容计费内容计费: : 部署在网络局部区域部署在网络局部区域11各典型厂家情况各典型厂家情况厂家名称厂家名称公司规模公司规模市场情况市场情况产品情况产品情况华为华为该产品线研发团队该产品线研发团队共共200200人人1.1.电信的部分城域网部署电信的部分城域网部署2.2.在网通的河北、辽宁等占较在网通的河北、辽宁等占较大份额大份额1.1.华为华为SIGSIG系统,分光方式接入,系统,分光方式接入,实施流量监控和统计分析实施流量监控和统计分析2.2.内嵌式内嵌式DPIDPI板卡,插在板卡,插在ME60ME60上,上,主要实施流量控制主要实施流量控制信风信风3636人,注册资金人,注册资金100100万万1.1.江苏、安徽、湖北、江西电江苏、安徽、湖北、江西电信等省出口部署信等省出口部署2.2.未真正进入网通市场未真正进入网通市场信风信风IPIP网用户行为分析系统,分光网用户行为分析系统,分光方式接入,实施流量监控和统计分方式接入,实施流量监控和统计分析析傲天傲天200200多人,注册资多人,注册资金金600600万万1.1.在四川和深圳电信等部署在四川和深圳电信等部署2.2.未真正进入网通市场未真正进入网通市场傲天宽带增值业务解决方案,分光傲天宽带增值业务解决方案,分光方式接入,流量监控和统计分析方式接入,流量监控和统计分析宽广宽广9696人,注册资金人,注册资金15001500万万1.1.深圳、海南电信等部署深圳、海南电信等部署2.2.河北网通部署河北网通部署1.TMA-SSS1.TMA-SSS设备,串接方式实施应设备,串接方式实施应用层流量控制用层流量控制2.TMA-VOIP2.TMA-VOIP设备,分光方式接入,设备,分光方式接入,实施实施VOIPVOIP控制控制3.TMA-UA3.TMA-UA设备,分光方式接入,进设备,分光方式接入,进行用户行为分析行用户行为分析AllotAllot以色列公司,全球以色列公司,全球283283人,国内人,国内4 4人人1.1.在电信局部区域有销售在电信局部区域有销售2.2.在联通、铁通占有一定份额在联通、铁通占有一定份额NetEnforcerNetEnforcer系列产品,串行接入,系列产品,串行接入,对流量实施控制对流量实施控制CiscoCisco国内国内SCESCE产品团队产品团队5050人人1.1.在电信局部区域有销售在电信局部区域有销售2.2.在铁通、网通有较大份额在铁通、网通有较大份额SCESCE系列产品,串行接入,对流量系列产品,串行接入,对流量实施控制实施控制CaspinCaspin美国公司,全球美国公司,全球140140人,中国人,中国5 5人人1.1.在上海电信城域网出口部署在上海电信城域网出口部署2.2.在联通和铁通有部分销售在联通和铁通有部分销售CaspinCaspin流控服务器,串行接入,实流控服务器,串行接入,实施总体流量控制施总体流量控制12所反映问题所反映问题流量识别效率流量识别效率每种系统都存在一定的未识别流量,其中信风系统的流量未识别每种系统都存在一定的未识别流量,其中信风系统的流量未识别率占率占20%数据单向采集数据单向采集理论上,数据单向采集对识别精度会造成一定影响理论上,数据单向采集对识别精度会造成一定影响若进行双向数据采集,硬件成本将翻倍若进行双向数据采集,硬件成本将翻倍需要在识别精度与投资成本之间做平衡需要在识别精度与投资成本之间做平衡技术支持力度技术支持力度IP网监控技术处于发展中,提供解决方案的厂家大部分规模较小,网监控技术处于发展中,提供解决方案的厂家大部分规模较小,系统支持能力和后续开发能力有待观察系统支持能力和后续开发能力有待观察系统部署原则系统部署原则各省市在解决方案选择、部署方式和部署范围等方面缺乏相应规各省市在解决方案选择、部署方式和部署范围等方面缺乏相应规划和原则,造成一定重复投资划和原则,造成一定重复投资13存在问题后续计划存在问题后续计划4 4目录目录技术现状分析技术现状分析2 2系统部署建议系统部署建议3 3调研情况介绍调研情况介绍1 114监控技术发展趋势监控技术发展趋势一拖一拖N技术技术采用多种技术手段实现非法共享上网,方式更加隐蔽采用多种技术手段实现非法共享上网,方式更加隐蔽P2P技术技术将接入节点分散化,接入将接入节点分散化,接入P2P网络的方式更隐蔽网络的方式更隐蔽通过改变协议端口或端口冒充的方式,逃避打击通过改变协议端口或端口冒充的方式,逃避打击采用报文加密方式,增加识别难度采用报文加密方式,增加识别难度VOIP技术技术将信令网关将信令网关/媒体网关分散化,逃避打击媒体网关分散化,逃避打击通过通过“私有隧道私有隧道”方式转发信令和媒体流,方式更隐蔽方式转发信令和媒体流,方式更隐蔽通过改变协议端口或端口冒充的方式,逃避打击通过改变协议端口或端口冒充的方式,逃避打击技术发展趋势监控技术发展趋势综合多种技术手段进行流量识别,减少对一拖综合多种技术手段进行流量识别,减少对一拖N N、P2PP2P和和VOIPVOIP业务的误业务的误判现象判现象通过双向链路采集进行流量识别,提高通过双向链路采集进行流量识别,提高P2PP2P和和VOIPVOIP的识别率的识别率通过媒体流和信令流关联检测的方式,提高通过媒体流和信令流关联检测的方式,提高VOIPVOIP识别率识别率15典型解决方案典型解决方案A类类协议转换器协议转换器前置设备前置设备网络设备网络设备分光控制链路控制链路统计管理服务器群统计管理服务器群InternetInternet通过分光通过分光/ /旁路方式采集链路数据,然后通过协议转换器将数据输入前旁路方式采集链路数据,然后通过协议转换器将数据输入前置设备进行深度分析监测,并依据监测结果对特定流量实施控制。置设备进行深度分析监测,并依据监测结果对特定流量实施控制。代表厂家:华为、信风、傲天、宽广等代表厂家:华为、信风、傲天、宽广等支持一拖支持一拖N N监控、监控、VOIPVOIP监控、监控、P2PP2P监控和流量统计分析功能监控和流量统计分析功能16典型解决典型解决方案方案B 类类监控方式监控方式将监控设备直接串接在物理链路上,对所有流将监控设备直接串接在物理链路上,对所有流量进行深度分析监测,并依据结果实施控制。量进行深度分析监测,并依据结果实施控制。监控设备监控设备统计管理服务器统计管理服务器代表厂家:代表厂家:CiscoCisco、AllotAllot、宽广等、宽广等监控设备监控设备统计管理服务器统计管理服务器监测方式监测方式支持支持VOIPVOIP监控、监控、P2PP2P监控和流量统计分析功能监控和流量统计分析功能一拖一拖N N监控功能支持较弱,不能监测分时共享监控功能支持较弱,不能监测分时共享上网方式上网方式通过分光方采集流量,对所有流量通过进行深通过分光方采集流量,对所有流量通过进行深度分析监测,不能进行相应控制。度分析监测,不能进行相应控制。支持支持VOIPVOIP监测、监测、P2PP2P监测和流量统计分析功能监测和流量统计分析功能对一拖监测功能支持较弱,不能监测分时共享对一拖监测功能支持较弱,不能监测分时共享上网方式上网方式17典型解决典型解决方案方案C类类直接串接在物理链路上,根据直接串接在物理链路上,根据五元组、五元组、VLAN IDVLAN ID、DSCP/EXPDSCP/EXP以及流特征信息,识别各类流以及流特征信息,识别各类流量,并通过流量整形和队列调量,并通过流量整形和队列调度等方式控制流量。度等方式控制流量。代表厂家:代表厂家:CaspinCaspin等等 监控设备监控设备支持支持VOIPVOIP监控、监控、P2PP2P监控,不区分具体应用,不能精细控制监控,不区分具体应用,不能精细控制流量统计分析功能支持较弱,不对具体应用做统计分析流量统计分析功能支持较弱,不对具体应用做统计分析不支持一拖不支持一拖N N监控功能监控功能18流量监控方案技术趋势流量监控方案技术趋势A类方案类方案B类方案类方案C类方案类方案对垃圾流量对垃圾流量的抑制能力的抑制能力不支持不支持可识别病毒等流量,可识别病毒等流量,并进行抑制并进行抑制较类方案弱较类方案弱差异化服务差异化服务不支持不支持支持支持较类方案弱较类方案弱部署灵活性部署灵活性可部署在网络的各可部署在网络的各个层面个层面受到接口类型限制,受到接口类型限制,部署层次较低部署层次较低主要部署在网络出主要部署在网络出口口功能扩展性功能扩展性可灵活加载各类功可灵活加载各类功能模块能模块较类方案弱较类方案弱基本不支持其它功基本不支持其它功能模块的加载能模块的加载接口类型接口类型系统的接口类型主系统的接口类型主要取决于协议转换要取决于协议转换器,接口类型丰富器,接口类型丰富系统主要由硬件实系统主要由硬件实现,开发周期长,现,开发周期长,主要有主要有GEGE和和OC48OC48目前支持的接口类目前支持的接口类型有型有GEGE、10GE10GE、OC48OC48和和OC192OC192技术能力比较技术能力比较从技术发展方向看,B类方案是未来的主要方向,但存在端口类型单一、开发周期较长和系统可靠性有待进一步验证等局限性A类方案对现网影响较小,接口类型较为丰富,可部署在网络的各个层次,尽管控制手段具有局限性,可做为目前的主要解决方案19存在问题后续计划存在问题后续计划4 4目录目录技术现状分析技术现状分析2 2系统部署建议系统部署建议3 3调研情况介绍调研情况介绍1 120IP监控系统部署建议监控系统部署建议不宜做为IP网络管理和优化的主要手段,仍需通过差异化服务等手段为IP网络优化提供保证系统定位系统定位部署原则部署原则网络容网络容量和结量和结构改造构改造层层次次部部署署IP监控系统应分不同网络层次部署,以保证各个层次协调一致,避免重复检测,最大限度节省投资,提高监控效果网络容网络容量和结量和结构改造构改造系系统统复复用用为节省投资,在部署系统时,应考虑系统硬件的可复用性,以便后续增加功能模块时,不需大规模增加投资网络容网络容量和结量和结构改造构改造机机动动部部署署为节省投资,在不影响系统监控效果的前提下,不建议全面覆盖特定网络区域。21系统综合部署建议系统综合部署建议采用采用A A类方案,同时部署类方案,同时部署P2PP2P和和VOIPVOIP监控模块监控模块考虑到非业务省VOIP模块的机动部署,存在一定量的VOIP流量不能控制,因此,在国际和互联互通出口部署VOIP监控模块系统应至少覆盖单向链路系统应至少覆盖单向链路国际和互联互通出口国际和互联互通出口省际链路业务省份省际链路业务省份采用采用A A类方案,同时部署类方案,同时部署P2PP2P、VOIPVOIP和一拖和一拖N N监控模块监控模块系统应至少覆盖单向链路系统应至少覆盖单向链路省际链路非业务省份省际链路非业务省份采用采用A A类方案,同时部署类方案,同时部署VOIPVOIP和一拖和一拖N N监控模块,机动方式部署监控模块,机动方式部署机动部署原则:在每个省汇接节点所在城市以汇接节点所在机房为单位,部署一套系统,每套系统应至少覆盖单台路由器的单向链路业务省份指省际链路总带宽超过业务省份指省际链路总带宽超过310G310G的省份的省份22系统综合部署建议系统综合部署建议采用采用A A类方案,在业务地市城域网出口部署类方案,在业务地市城域网出口部署P2PP2P监控系统,系统应至少监控系统,系统应至少覆盖单向链路覆盖单向链路采用采用A A类方案,在类方案,在VOIPVOIP分流严重的城域网出口机动部署分流严重的城域网出口机动部署VOIPVOIP监控系统监控系统机动部署原则:每套系统应能覆盖单台城域网出口路由器的单向链路采用采用A A类方案,在业务地市同时类方案,在业务地市同时VOIPVOIP分流严重的城域网出口,同时部分流严重的城域网出口,同时部署署P2PP2P和和VOIPVOIP监控模块监控模块系统应至少覆盖单向链路城域网出口链路城域网出口链路城域网内部链路城域网内部链路采用采用B B类方案,在类方案,在P2PP2P流量较为集中的区域部署流量较为集中的区域部署P2PP2P监控设备监控设备对于A类方案,目前可采用单向检测的方式部署在出方向链路上,未来单向检测不能满足监控需求的条件下,可考虑双向部署23国际和互联互通链路投资估算国际和互联互通链路投资估算链路带宽链路带宽华为华为(73.1(73.1万万/10G)/10G)信风信风(73(73万万/10G)/10G)宽广宽广(65(65万万/10G)/10G)CaspinCaspin(267.6(267.6万万/10G)/10G)国际出口国际出口(165G)(165G)1206.21206.2万万1204.51204.5万万1072.51072.5万万4415.44415.4万万互联互通出口互联互通出口(316G)(316G)23102310万万2306.82306.8万万20542054万万8456.28456.2万万说明:说明:1.链路总带宽源自规划文稿,为2007规划带宽2.各系统均按采购P2P和VOIP监控模块计算3.信风系统折算价格源自江苏一期工程合同价格 4.华为、宽广和Caspin的价格源自各公司针对中国电信的报价 5.宽广系统和Caspin设备采用串接方式,进行双向监测6.信风和华为系统都是单向监测,若双向监测,成本应在此基础上乘以224省际城域网出口链路投资估算省际城域网出口链路投资估算链路带宽链路带宽华为华为(88.75(88.75万万/10G)/10G)信风信风(79.2(79.2万万/10G)/10G)宽广宽广(257(257万万/10G)/10G)总带宽总带宽(5113G)(5113G)45377.945377.9万万40495 40495 万万131404.1131404.1万万业务大省业务大省(3265G)(3265G)28976.928976.9万万25858.825858.8万万83910.583910.5万万1.链路总带宽为源自规划文稿,为2007规划带宽2.信风系统折算价格源自江苏一期工程合同价格,华为、宽广,Caspin的价格源自各公司针对中国电信的报价3.信风和华为系统都是单向监测,若双向监测,成本应在基础上乘以2 4.省际链路部署的系统,按P2P、VOIP和一拖N监控模块估算5.城域网出口链路部署的系统,按P2P和VOIP监控模块估算6.宽广系统需由SSS平台和UA平台完成P2P、VOIP和一拖N监控功能 链路带宽链路带宽华为华为(73.1(73.1万万/10G)/10G)信风信风(73(73万万/10G)/10G)宽广宽广(65(65万万/10G)/10G)Caspin(267.6Caspin(267.6万万/10G)/10G)5300G5300G3874338743万万3869038690万万3445034450万万141828141828万万省出口链路投资估算省出口链路投资估算城域网出口链路投资估算城域网出口链路投资估算说明说明25建议方案总投资估算建议方案总投资估算国际互联互通城域网出口链路投资估算国际互联互通城域网出口链路投资估算典型厂家典型厂家华为华为信风信风宽广宽广CaspinCaspin投资估算投资估算42259.242259.2万万42201.342201.3万万37576.537576.5万万154699.6154699.6万万国际互联互通省出口链路投资估算国际互联互通省出口链路投资估算典型厂家典型厂家华为华为信风信风宽广宽广投资估算投资估算48894.148894.1万万44006.344006.3万万134530.6134530.6万万说明说明1.链路总带宽为源自规划文稿,为2007规划带宽2.信风系统折算价格源自江苏一期工程合同价格,华为、宽广的价格源自各公司针对中国电信的报价3.信风和华为系统都是单向监测,若双向监测,成本应在基础上乘以2 4.Caspin设备不能实现一拖N监控,所以总投资估算中,不包括其在省出口链路的投资26建议方案总投资估算建议方案总投资估算国际互联互通业务大省部分非业务省出口链路投资估算国际互联互通业务大省部分非业务省出口链路投资估算典型厂家典型厂家华为华为信风信风宽广宽广国际出口估算国际出口估算1206.21206.2万万1204.51204.5万万1072.51072.5万万互联互通出口估算互联互通出口估算23102310万万2306.82306.8万万20542054万万业务大省出口估算业务大省出口估算28976.928976.9万万25858.825858.8万万83910.583910.5万万部分非业务省部分非业务省VOIPVOIP机动监控估算机动监控估算2127.52127.5万万2471.62471.6万万24052405万万总投资估算总投资估算34620.634620.6万万31841.731841.7万万8944289442万万说明说明1.链路总带宽为源自规划文稿,为2007规划带宽2.信风系统折算价格源自江苏一期工程合同价格,华为、宽广的价格源自各公司针对中国电信的报价3.信风和华为系统都是单向监测,若双向监测,成本应在基础上乘以2 4.非业务省机动部署核算按非业务省带宽的20%估算,非业务省带宽为1848G,因此,机动部署链路带宽为369.6G27流量统计分析系统试点部署建议流量统计分析系统试点部署建议宜结合骨干网网管已有设备能力实施业务流量分析,在准宜结合骨干网网管已有设备能力实施业务流量分析,在准确性、分析粒度不能达到要求的情况下,可结合其他监控确性、分析粒度不能达到要求的情况下,可结合其他监控功能模块考虑建设功能模块考虑建设。建议充分发挥建议充分发挥Netflow的功能,实现初步的业务流量分析的功能,实现初步的业务流量分析建议在国际和互联互通出口、省出口以及城域网出口等各建议在国际和互联互通出口、省出口以及城域网出口等各网络层次选择部分节点,试点部署网络层次选择部分节点,试点部署可采用类方案和类方案的监测方式部署设备,进行双向监测;目前可采用类方案和类方案的监测方式部署设备,进行双向监测;目前优先选择优先选择A类方案类方案业务流量分析模块用户行为分析模块鉴于目前需求不明确,投资规模较大,建议现阶段不宜部鉴于目前需求不明确,投资规模较大,建议现阶段不宜部署,由集团统一组织试点署,由集团统一组织试点可选择城域网内部分可选择城域网内部分BRAS/SR的上联链路,以类方案的监测方式部署的上联链路,以类方案的监测方式部署设备,对链路进行双向监测分析设备,对链路进行双向监测分析28用户行为分析模块投资估算用户行为分析模块投资估算估算说明:1.每用户的平均带宽按0.5M估算;宽带用户收敛比按1:3计算,2008年规划宽带用户为4854万,则同时在线的用户为1618万,总体带宽估算为8090G3.信风系统单台前置设备和服务器价格分别为6.7万和18万,服务器:前置机=1:10,所以单台价格折合为8.5万4.华为系统单台前置设备和服务器价格分别为6万和18万,服务器:前置机=1:10,所以单台价格折合为7.8万5.宽广系统单台前置设备和服务器价格分别为23万和80万,服务器:前置机=1:20,所以单台价格折合为27万6.总体估价单台价格*总体带宽/设备能力监控系统监控系统设备能力设备能力单台价格单台价格总体估价总体估价信风系统信风系统双向双向1G1G8.58.5万万6.886.88亿亿华为系统华为系统双向双向1G1G7.87.8万万6.316.31亿亿宽广系统宽广系统双向双向1G1G2727万万21.8421.84亿亿29目录目录技术现状分析技术现状分析2 2调研情况介绍调研情况介绍1 1存在问题后续计划存在问题后续计划4 4系统部署建议系统部署建议3 330存在问题后续计划存在问题后续计划IPIP网监控技术处于发展中,部署现有解决方案,存在一定网监控技术处于发展中,部署现有解决方案,存在一定技术风险技术风险需要探讨收益评估方法,以便对系统部署的收益进行客观需要探讨收益评估方法,以便对系统部署的收益进行客观公正的评价公正的评价存在问题存在问题后续计划后续计划全面测试各类解决方案,验证其功能和性能,为集团统一全面测试各类解决方案,验证其功能和性能,为集团统一组织部署提供依据组织部署提供依据验证系统机动部署的可行性验证系统机动部署的可行性验证各解决方案的机动部署范围验证各解决方案的机动部署范围探讨华为、信风、傲天等厂家以服务器软件等方式机动部署的原则探讨华为、信风、傲天等厂家以服务器软件等方式机动部署的原则探讨探讨Cisco、Allot等厂家便携式设备机动部署的原则等厂家便携式设备机动部署的原则对用户行为分析系统做试点验证对用户行为分析系统做试点验证31谢谢!谢谢!32系统部署建议系统部署建议4 4附件附件各类方案其它能力比较各类方案其它能力比较2 2监控技术分析监控技术分析3 3江苏电信部署情况江苏电信部署情况1 133江苏电信部署情况江苏电信江苏电信IPIP网用户行为分析系统由华为公司和南京信风网用户行为分析系统由华为公司和南京信风公司共同完成公司共同完成华为公司负责硬件部分和系统总集成,信风公司负责软件的开发华为公司负责硬件部分和系统总集成,信风公司负责软件的开发一期工程于一期工程于2006.12006.1开始部署,二期扩容工程于开始部署,二期扩容工程于2006.92006.9完完成成硬件投资硬件投资软件投资软件投资 投资总额投资总额监控链路监控链路实现功能实现功能一期工程一期工程777.5万315.5万1093万16*OC192一拖N监控、P2P监控、VOIP监控、流量统计分析二期工程二期工程2358万325万2749万56*OC192一拖N监控、P2P监控、VOIP监控、流量统计分析、广告推送34江苏一期系统框图江苏一期系统框图在南京、无锡两地集中部署,采集省出口电路的上行流量在南京、无锡两地集中部署,采集省出口电路的上行流量35江苏一期系统主要构成江苏一期系统主要构成网络接口转换器网络接口转换器2台NE80E,各分光8条10G POS线路,进行协议转换,负载到62和66个GE口。分别部署在南京、无锡两地。预处理服务器预处理服务器南京、无锡分别部署62和66台。每台服务器1个GE接口,可处理850Mbps流量(现网监测得到的数据)。二次处理服务器二次处理服务器南京、无锡各2台,作为共享接入检测的二次验证和处理统计管理服务器统计管理服务器3台,部署在南京,完成策略下发,管理,统计报表功能RadiusRadius处理服务器处理服务器2台,部署在南京,解析Radius报文,实现IP与帐号对应。36系统部署建议系统部署建议4 4附件附件江苏一期系统构成江苏一期系统构成1 1监控技术分析监控技术分析3 3各类方案其它能力比较各类方案其它能力比较2 237系统部署建议系统部署建议4 4附件附件各类方案其它能力比较各类方案其它能力比较2 2江苏一期系统构成江苏一期系统构成1 1监控技术分析监控技术分析3 338一拖一拖N常见类型常见类型 公众用户公众用户以个人名义申请,实际为单位、企以个人名义申请,实际为单位、企业使用;业使用;A A:42%42%相邻的多个家庭接入共享;相邻的多个家庭接入共享;B B:35%35%学生、职工等集体宿舍共用;学生、职工等集体宿舍共用;C C:11%11%以个人名义申请,开展经营的以个人名义申请,开展经营的“黑黑”网吧网吧D D:3%3%专线用户专线用户假接入,真互联:以专线方式在本地或异地接入中国电信的网假接入,真互联:以专线方式在本地或异地接入中国电信的网络,而为其它运营商提供全部络,而为其它运营商提供全部/ /部分网络互联服务。部分网络互联服务。说明:公众用户一拖N构成比例来自江苏电信调研数据39“一拖一拖N”识别技术识别技术链路层信息链路层信息不同主机所携带不同主机所携带MACMAC地址不同,可识别地址不同,可识别NATNAT方式的方式的“一拖一拖N N”网络层信息网络层信息1.1.不同主机所携带不同主机所携带IPIP头扩展属性如头扩展属性如identificationidentification的递增规律不同的递增规律不同; ;2.NAT2.NAT设备会对设备会对IPIP报文报文TTLTTL值减一,若值减一,若TTLTTL值与初始值不同,则认为值与初始值不同,则认为“一一拖拖N N”传输层信息传输层信息1.1.分析某源地址的并发分析某源地址的并发TCP/UDPTCP/UDP连接,若超过设定值则为疑似对象连接,若超过设定值则为疑似对象2.2.分析某源地址的分析某源地址的TCP/UDPTCP/UDP端口变化范围端口变化范围应用层信息应用层信息1.1.分析分析EmailEmail帐号、帐号、QQQQ帐号、帐号、MSNMSN帐号等信息帐号等信息2.2.分析分析IEIE浏览器版本信息浏览器版本信息3.3.分析分析Windows UpdateWindows Update信息信息4.4.分析分析HttpHttp报文中的报文中的User AgentUser Agent、cookiecookie等信息等信息操作系统信息操作系统信息分析分析WindowsWindows操作系统所携带用户信息、操作系统所携带用户信息、OSOS版本等版本等SNMP扫描扫描1.1.扫描主机或扫描主机或ADSL ModemADSL Modem的的SNMPSNMP信息,提取主机数;因为用户反响较信息,提取主机数;因为用户反响较大,目前已基本不用大,目前已基本不用2.2.典型产品:网络尖兵典型产品:网络尖兵植入植入cookie1.1.向用户电脑植入向用户电脑植入COOKIECOOKIE,同一帐号下不同电脑有不同的,同一帐号下不同电脑有不同的COOKIECOOKIE,统,统计计COOKIECOOKIE就可知道同一帐号下挂接多少台不同电脑。就可知道同一帐号下挂接多少台不同电脑。2.2.典型产品:傲天的典型产品:傲天的“一拖一拖N N”监控模块监控模块被动识别主动识别40“一拖一拖N”识别技术特点识别技术特点主动识别主动识别被动识别被动识别差异差异1.1.主动向用户发送数据,主动向用户发送数据,容易被用户察觉,招致不容易被用户察觉,招致不满满2.2.用户可通过一些手段躲用户可通过一些手段躲避监测避监测3.3.目前只用作辅助识别手目前只用作辅助识别手段段1.1.被动监测用户的网上流被动监测用户的网上流量信息量信息2.2.不对用户造成影响,不不对用户造成影响,不被用户察觉被用户察觉3.3.是目前的主要识别手段是目前的主要识别手段共性共性1.1.一般需要较长时间才能得到较准确的检测结果,实时一般需要较长时间才能得到较准确的检测结果,实时性不高性不高2.2.除除SNMPSNMP扫描方式外,主要对用户主机发出的信息进行扫描方式外,主要对用户主机发出的信息进行检测,因此只需要监测用户的上行数据检测,因此只需要监测用户的上行数据3.3.识别设备不需要串接在网络中,不会影响网络的性能识别设备不需要串接在网络中,不会影响网络的性能. .41“假接入,真互联假接入,真互联”常规识别方法常规识别方法在中国电信城域网内部、省网内部、骨干网内部搭建FTP服务器在对方用户终端上对国际站点以及上述FTP服务器地址执行Traceroute操作从电信网内执行反向traceroute用户终端登录FTP服务器,在服务器上用Netstat查找该用户登录到ftp服务器的公网IP地址从服务器执行反向tracert根据接入地址定位接入点对方网络开启Traceroute功能对方网络关闭Traceroute功能对方用户使用公有地址对方用户使用私有地址逐跳查找接入IP地址42一拖一拖N控制技术控制技术阻断阻断TCPTCP连接连接向用户发送向用户发送TCP resetTCP reset报文,中断用户的报文,中断用户的TCPTCP连接连接WEBWEB页面重定向页面重定向向用户发送向用户发送HTTP RedirectHTTP Redirect报文,将用户强制重定报文,将用户强制重定向到警告页面向到警告页面1.1.控制设备只要与网络连通即可,不需要串接在网络中,控制设备不会控制设备只要与网络连通即可,不需要串接在网络中,控制设备不会成为故障点成为故障点2.2.控制设备可在网络的任何层面接入网络控制设备可在网络的任何层面接入网络网站非法接入监控1http2Resethttp redirect得到警告页面34 非法接入用户WEBWEB页面重定向页面重定向43主要主要P2P应用类型应用类型网络容网络容量和结量和结构改造构改造下下载载型型n通过通过Peer(Peer(对等体对等体) )之间的文件片段交换实现文件下载的之间的文件片段交换实现文件下载的应用应用n典型应用:典型应用:BTBT、迅雷、迅雷、PocoPoco、eMule/eDonkeyeMule/eDonkey等等网络容网络容量和结量和结构改造构改造流流媒媒体体型型n通过通过Peer(Peer(对等体对等体) ) 之间的流媒体片段交换实现流媒体之间的流媒体片段交换实现流媒体播放功能的应用。播放功能的应用。n典型应用:典型应用:PPLivePPLive、PPStreamPPStream、QQLiveQQLive等等网络容网络容量和结量和结构改造构改造即即时时通通信信型型n通过通过Peer(Peer(对等体对等体) )通过语音、视频和文字等进行实时在通过语音、视频和文字等进行实时在线交流的应用。线交流的应用。n典型应用:典型应用: QQQQ、MSNMSN、SkypeSkype等等44P2P识别技术识别技术网络容网络容量和结量和结构改造构改造DPI技技术术n深度报文检测技术深度报文检测技术(Deep Packet Inspection)(Deep Packet Inspection)n针对报文净荷中的特征字、协议指纹以及报文之间的逻辑关系针对报文净荷中的特征字、协议指纹以及报文之间的逻辑关系等因素识别等因素识别P2PP2P流量的技术流量的技术n识别精度较高,但需对特定协议的应用层特征被动跟踪识别精度较高,但需对特定协议的应用层特征被动跟踪n对加密流量识别较困难对加密流量识别较困难n适用于适用于A A类和类和B B类解决方案类解决方案网络容网络容量和结量和结构改造构改造DFI技技术术n深度流检测技术深度流检测技术(Deep Flow Inspection)(Deep Flow Inspection)n针对报文头部的五元组信息、针对报文头部的五元组信息、VLAN IDVLAN ID以及以及DSCP/EXPDSCP/EXP等识别特定等识别特定数据流,并结合平均速率,流持续时间,字节数,包长等流特数据流,并结合平均速率,流持续时间,字节数,包长等流特征信息,识别流量的技术征信息,识别流量的技术n识别精度不高,可能出现误判,但不需要跟踪特定应用的细节识别精度不高,可能出现误判,但不需要跟踪特定应用的细节变化变化n报文加密与否不影响其识别精度报文加密与否不影响其识别精度n适用于适用于C C类解决方案类解决方案45P2P DPI识别技术识别技术特征字识特征字识别别特征字:报文净荷中所包含的用于区别于其它应用的特定字符串.每种协议都有特征字,如BitTorrent协议中的“User-Agent: BitTorrent”等协议指纹协议指纹识别识别协议指纹:P2P报文的应用层格式所呈现的特征。大多数P2P协议应用层封装中都呈现出类似TLV的格式,而且有些协议在内容净荷的头和尾部还有一些特殊的字符,如|,$等协议状态协议状态机识别机识别协议状态机:P2P客户端在Peer和Peer的交互过程中所遵循规律。大多数P2P应用采用特有“信令”过程,如BT在Peer之间存在Handshake过程。在数据传输阶段也有类似的握手过程。通信特征通信特征识别识别通信特征:特定P2P应用在通信过程中所表现出的统计学特征。包括TCP/UDP比例,对端Peer个数,上下行流量的对称性,报文长度分布、持续时间、包长等46P2P控制技术控制技术QoS机制机制实现机制实现机制采用采用CAR/Traffic shaping的方式限制应用业务流量的方式限制应用业务流量采用采用scheduling保证业务流量的优先转发保证业务流量的优先转发适用于适用于B类和类和C类解决方案类解决方案- 高等级业务流量(重要客户、关键业务)优先转发高等级业务流量(重要客户、关键业务)优先转发- 低等级业务按照比例分配带宽资源低等级业务按照比例分配带宽资源47P2P控制技术控制技术TCP/UDPTCP/UDP连接连接Drop Drop packtpackt源端源端目的端目的端丢弃丢弃/部分丢弃部分丢弃 将将TCP/UDP报文全部丢弃,可阻断源端与目的端的报文全部丢弃,可阻断源端与目的端的TCP/UDP连接连接将将TCP报文部分丢弃,可使发送端调整报文部分丢弃,可使发送端调整TCP窗口大小,窗口大小,自动降低发送速率,从而降低源端到目的端全路径的自动降低发送速率,从而降低源端到目的端全路径的发送速率发送速率适用于适用于B类和类和C类解决方案类解决方案48P2P控制技术控制技术源端源端目的端目的端建立连接建立连接TCP RstTCP Rst或或ICMP UnreachableICMP UnreachableTCP RstTCP Rst或或ICMP UnreachableICMP Unreachable阻断阻断TCP/UDP连接连接阻断阻断TCP连接连接伪造伪造TCP Reset报文,向源和目的端分别发送报文,向源和目的端分别发送阻断阻断UDP连接连接 伪造伪造ICMP Unreachable报文,向源端发送报文,向源端发送有可能被用户防火墙拦截而失效有可能被用户防火墙拦截而失效主要适用于主要适用于A类解决方案类解决方案49VOIP分类分类依使用模式划分依使用模式划分PC to PCPC to PHONEPHONE to PHONE依协议划分依协议划分标准协议:标准协议:H.323、SIP、MGCP半标准协议:改变标准协议端口或者个别字段半标准协议:改变标准协议端口或者个别字段内容内容通过通过“私有隧道私有隧道”加载的应用加载的应用私有协议:私有协议:SkyPE、QQ、MSN50VOIP识别技术识别技术网络容网络容量和结量和结构改造构改造DPI技技术术n针对报文净荷中的特征字、协议指纹、报文之间的逻辑关系以针对报文净荷中的特征字、协议指纹、报文之间的逻辑关系以及信令报文和媒体报文之间的关联等因素识别及信令报文和媒体报文之间的关联等因素识别VOIPVOIP流量的技术流量的技术n识别精度较高,但需对特定协议的应用层特征被动跟踪识别精度较高,但需对特定协议的应用层特征被动跟踪n对加密流量识别较困难对加密流量识别较困难n适用于适用于A A类和类和B B类解决方案类解决方案网络容网络容量和结量和结构改造构改造DFI技技术术n针对报文头部的五元组信息、针对报文头部的五元组信息、VLAN IDVLAN ID以及以及DSCP/EXPDSCP/EXP等识别特定等识别特定数据流,并结合平均速率,流持续时间,字节数,包长等流特数据流,并结合平均速率,流持续时间,字节数,包长等流特征信息,识别流量的技术征信息,识别流量的技术n识别精度不高,可能出现误判,但不需要跟踪特定应用的细节识别精度不高,可能出现误判,但不需要跟踪特定应用的细节变化变化n报文加密与否不影响其识别精度报文加密与否不影响其识别精度n适用于适用于C C类解决方案类解决方案51VOIP DPI识别技术识别技术特征字识别特征字识别通过检查流量载荷中的特定字符串来识别目标流量,主要用于对信令报文的检测协议指纹识别协议指纹识别通过对VOIP报文中所表现的应用层特征进行识别。主要用于对信令报文的检测。协议状态机识别协议状态机识别针对VOIP信令交互过程中的特点进行识别行为特征识别行为特征识别通过检测承载在UDP之上的媒体流RTP连接数判断是否为虚拟运营的VoIP网关。主要用于媒体流检测流量特征识别流量特征识别通过检测VoIP信令流或者媒体流的流量特征来识别VOIP流量,如:报文数、报文平均长度、平均速率、报文速率等指标52VOIP控制技术控制技术控制技术控制技术实现原理实现原理适用方案适用方案TCP信令拦截信令拦截对于采用对于采用TCPTCP做为信令传输协议的做为信令传输协议的VOIPVOIP应用应用( (如如H.323H.323等等) ),利用监控设备伪造,利用监控设备伪造TCP ResetTCP Reset报文,向用户、网关发送,报文,向用户、网关发送,阻断信令连接。阻断信令连接。A A、B B类方案类方案UDP信令拦截信令拦截对于采用对于采用UDPUDP做为信令传输协议的做为信令传输协议的VOIPVOIP应用应用( (如如SIPSIP等等) ),利用监控设备伪造呼,利用监控设备伪造呼叫失败信息或挂机信号等,向用户叫失败信息或挂机信号等,向用户/ /网网关发送,阻断信令连接。关发送,阻断信令连接。A A、B B类方案类方案语音干扰语音干扰利用监控设备伪造媒体报文,插入到利用监控设备伪造媒体报文,插入到VOIPVOIP媒体流中,使用户之间的通话受媒体流中,使用户之间的通话受到干扰。到干扰。A A、B B类方案类方案语音质量劣化语音质量劣化将流经监控设备的媒体流报文全部丢将流经监控设备的媒体流报文全部丢弃,或采用弃,或采用QosQos机制将媒体流报文部分机制将媒体流报文部分丢弃,达到劣化语音质量的效果。丢弃,达到劣化语音质量的效果。B B类和类和C C类方案类方案53流量统计分析功能流量统计分析功能针对网络流量进行深入分析,并根据分析结果,挖掘针对网络流量进行深入分析,并根据分析结果,挖掘出有价值的流量统计数据和用户行为数据等,为优化出有价值的流量统计数据和用户行为数据等,为优化网络和针对性营销等提供重要依据网络和针对性营销等提供重要依据网络容量网络容量和结构改和结构改造造业务业务流量流量分析分析n针对网络中的流量,结合各种技术进行分析挖掘,得出网络中针对网络中的流量,结合各种技术进行分析挖掘,得出网络中流量构成、流量流向等有价值的信息。流量构成、流量流向等有价值的信息。n可实现的功能包括网络流量构成分析、特定应用分布分析、异可实现的功能包括网络流量构成分析、特定应用分布分析、异常流量分析、特定业务流量趋势分析等常流量分析、特定业务流量趋势分析等网络容量网络容量和结构改和结构改造造用户用户行为行为分析分析n针对具体网络用户或用户群进行的分析和数据挖掘,可得出特针对具体网络用户或用户群进行的分析和数据挖掘,可得出特定用户或用户群的网络习惯和应用构成等有价值的信息定用户或用户群的网络习惯和应用构成等有价值的信息n可实现的功能包括用户应用构成分析、特定业务的用户分布分可实现的功能包括用户应用构成分析、特定业务的用户分布分析等析等54流量统计分析逻辑框图流量统计分析逻辑框图第三方数据分析系统第三方数据分析系统深度分析设备深度分析设备深度分析网络流量,并将结果输入到统计分析服务器深度分析网络流量,并将结果输入到统计分析服务器流量识别统计技术包括流量识别统计技术包括DPI和和DFI以及以及Netflow等,其中等,其中Netflow是为业务流量分析是为业务流量分析的基本工具的基本工具统计分析服务器统计分析服务器对深度分析的结果进行统计分析,并存储到数据库中,主要涉及数据挖掘技术对深度分析的结果进行统计分析,并存储到数据库中,主要涉及数据挖掘技术55江苏一期系统构成江苏一期系统构成1 1附件附件各类方案其它能力比较各类方案其它能力比较2 2监控技术分析监控技术分析3 3系统部署建议系统部署建议4 4562005年带宽成本估算年带宽成本估算ChinaNetChinaNet国际出口投资成本分摊国际出口投资成本分摊85108510元元/M/MChinanetChinanet省间长途投资成本摊省间长途投资成本摊909909元元/M/M,纯数据单位带宽投资为,纯数据单位带宽投资为480480元元/M/M省内带宽省内带宽( (抽样抽样) )成本分摊成本分摊562562元元/M,/M,纯纯数据单位带宽投资为数据单位带宽投资为465465元元/M/M城域网出口带宽成本分摊城域网出口带宽成本分摊13881388元元/M/M* 数据源自带宽规划文档57“一拖一拖N”监控系统部署分析监控系统部署分析根据根据“一拖一拖N N”识别和控制技术的特点,系统可部署在网识别和控制技术的特点,系统可部署在网络较高层面络较高层面ChinaNetChinaNet流量中,国际和网间流量中,国际和网间( (电信网通电信网通) )流量所占比例流量所占比例都低于都低于20%20%,监控系统部署在国际,监控系统部署在国际/ /互联互通出口会有较大互联互通出口会有较大误差误差根据用户规模和根据用户规模和ICPICP部署情况,部分省份内部流量可能大部署情况,部分省份内部流量可能大于省际流量,所以监控系统部署在核心节点之间的链路,于省际流量,所以监控系统部署在核心节点之间的链路,对该省的对该省的“一拖一拖N N”监控会产生较大误差监控会产生较大误差通过通过TracerouteTraceroute等常规方法可查到等常规方法可查到“假接入,真互联假接入,真互联”的的接入点,但这种方法需要在竞争对手网络中申请帐号等繁接入点,但这种方法需要在竞争对手网络中申请帐号等繁琐工作,缺乏针对性,会耗费大量人力成本琐工作,缺乏针对性,会耗费大量人力成本“一拖一拖N N”监控系统可以只监测用户的上行流量监控系统可以只监测用户的上行流量58“一拖一拖N”监控系统投资分析监控系统投资分析监控系统监控系统城域网出口带宽城域网出口带宽(2049G2049G)省出口带宽省出口带宽(1529G1529G)信风系统信风系统13728.313728.3(万元)(万元)10244.3 10244.3 (万元)(万元)华为系统华为系统14752.8 14752.8 (万元)(万元)11008.8 11008.8 (万元)(万元)宽广系统宽广系统18850.8 18850.8 (万元)(万元)14066.8 14066.8 (万元)(万元)说明:说明:1.1.城域网城域网/ /省出口总带宽为八扩之前的数据,源自规划文稿省出口总带宽为八扩之前的数据,源自规划文稿 2.2.宽广宽广UAUA平台不包括统计服务器等设备平台不包括统计服务器等设备3.3.增收估算取自深圳电信增收估算取自深圳电信20052005年数据年数据每月预计增收万元,预计增加年收入:每月预计增收万元,预计增加年收入:12*37=44412*37=444万万深圳城域网出口链路带宽为深圳城域网出口链路带宽为12*10G=120G12*10G=120G中国电信城域网出口带宽为中国电信城域网出口带宽为2049G2049G,可推算全国增收,可推算全国增收2049*(444/120)=7581.3万万根据各厂家监控系统估算投资回收期根据各厂家监控系统估算投资回收期信风系统:信风系统:13728.3/7581.3=1.8年年华为系统华为系统14752.8/7581.3=1.9年年宽广系统宽广系统18850.8/7581.3=2.5年年59一拖一拖N部署建议部署建议建议在省际上行链路采用分光方式部署建议在省际上行链路采用分光方式部署 “一拖一拖N N”监控系统监控系统监控系统必须能够实现对公众用户的监控监控系统必须能够实现对公众用户的监控建议系统可实现对专线用户的监控建议系统可实现对专线用户的监控建议在省际链路机动部署,只监测上行单向链路建议在省际链路机动部署,只监测上行单向链路机动部署原则:在每个省的汇接节点所在城市部署一机动部署原则:在每个省的汇接节点所在城市部署一套系统,每套系统所采集流量应能覆盖单台路由器的套系统,每套系统所采集流量应能覆盖单台路由器的所有上联链路所有上联链路建议在后续工程建设中,在每个省出口上行联链路上建议在后续工程建设中,在每个省出口上行联链路上部署分光器,以便实现系统的机动部署部署分光器,以便实现系统的机动部署一拖一拖N N监控效果,需要配合相应的营销手段才能发监控效果,需要配合相应的营销手段才能发挥较好作用挥较好作用60P2P监控部署分析监控部署分析P2PP2P应用对带宽消耗较大,但目前对宽带用户有较强吸引应用对带宽消耗较大,但目前对宽带用户有较强吸引力,因此不宜对力,因此不宜对P2PP2P流量采取完全封堵的策略,应进行有流量采取完全封堵的策略,应进行有效抑制和引导效抑制和引导为保证一定的用户体验情况为保证一定的用户体验情况P2PP2P流量控制应分层分级进行流量控制应分层分级进行在国际出口和网际在国际出口和网际( (电信网通电信网通) )出口部署出口部署P2PP2P监控系统,抑制监控系统,抑制P2PP2P流量,以保证用户对其它应用的体验流量,以保证用户对其它应用的体验在省出口和城域网出口部署在省出口和城域网出口部署P2PP2P监控系统,以保证用户对其它应用监控系统,以保证用户对其它应用的体验的体验在城域网在城域网P2PP2P应用较为密集的区域部署应用较为密集的区域部署P2PP2P监控设备,防止局部流监控设备,防止局部流量拥塞量拥塞为保证一定的用户体验,应对为保证一定的用户体验,应对P2PP2P实施总量控制实施总量控制, ,一般不建一般不建议对单个用户实施控制议对单个用户实施控制目前,同一出口路由器上行链路之间基于目的地址实现负目前,同一出口路由器上行链路之间基于目的地址实现负载分担,所以针对出口路由器的单条上行链路控制载分担,所以针对出口路由器的单条上行链路控制P2PP2P流流量,并不能降低其它链路的量,并不能降低其它链路的P2PP2P流量流量61P2P监控部署分析监控部署分析P2PP2P节点访问网外和网内节点的概率相当节点访问网外和网内节点的概率相当, , 因此,可使因此,可使P2PP2P节点分布本地化,实现流量本地化,节省网际带宽节点分布本地化,实现流量本地化,节省网际带宽中国电信网内的节点足够支持中国电信网内的节点足够支持P2PP2P下载下载P2PP2P流量本地化措施流量本地化措施提供基于提供基于IPIP地址位置解析服务,使地址位置解析服务,使P2PP2P流量本地化流量本地化处于研究阶段,应用案例较少处于研究阶段,应用案例较少提供提供P2PP2P代理或代理或P2PP2P重定向功能,使重定向功能,使P2PP2P流量本地化流量本地化应用案例较少,需进一步验证应用案例较少,需进一步验证限制限制P2PP2P下载总流量下载总流量, ,使使P2PP2P节点分布本地化节点分布本地化限制限制P2PP2P下载总流量,用户下载总流量,用户P2PP2P下载速率下降不明显下载速率下降不明显, ,但可影响但可影响P2PP2P节点节点的分布的分布可采取措施,使部分用户规模较大可采取措施,使部分用户规模较大/P2P/P2P流量较大的省网流量较大的省网城域网的城域网的P2PP2P流量本地化流量本地化从江苏和其它省份的情况看,单向监测从江苏和其它省份的情况看,单向监测P2PP2P流量,可达到流量,可达到一定监控效果一定监控效果62P2P监控系统投资估算监控系统投资估算监控系统监控系统国际出口国际出口(120G120G)网际出口网际出口(47.5G)47.5G)省出口省出口(1529G)(1529G)城域网出口城域网出口(2049G)(2049G)信风系统信风系统804(万元)318.25(万元)10244.3(万元)13728.3(万元)华为系统华为系统864(万元)342(万元)11008.8(万元)14752.8(万元)宽广平台宽广平台780(万元)308.75(万元)9938.5(万元)13318.5(万元)说明:说明:1.1.链路总带宽为八扩之前的数据链路总带宽为八扩之前的数据, ,源自规划文稿源自规划文稿 2.2.信风和华为系统都是单向监测,若双向监测,成本应在基础上乘以信风和华为系统都是单向监测,若双向监测,成本应在基础上乘以2 2 3. 3.宽广系统宽广系统SSSSSS平台采用串接方式,进行双向监测平台采用串接方式,进行双向监测4.4.网间长途投资成本按国内长途成本计算网间长途投资成本按国内长途成本计算将单条将单条OC48OC48链路的入方向链路的入方向P2PP2P峰值流量压制到峰值流量压制到0.8G0.8G,峰值平均总流量,峰值平均总流量由由2.2G2.2G下降到下降到1.3G1.3G6条条OC48链路共节省带宽投资链路共节省带宽投资6 6(2.2(2.21.3)1.3)1000M1000M480480元元/M/M259.2259.2万元万元各系统在广州网际出口的部署成本各系统在广州网际出口的部署成本信风系统信风系统P2P监控模块:监控模块:62.56.7100.5万万华为华为SIG系统系统P2P监控模块:监控模块:62.57.2108万万宽广宽广SSS平台:平台:62.56.597.5万万63江苏电信江苏电信P2P抑制成效估算抑制成效估算江苏省出口峰值共节省带宽江苏省出口峰值共节省带宽: :161610101000M1000M( (94%-85%)=14400M94%-85%)=14400M江苏省出口共节省带宽投资江苏省出口共节省带宽投资: :14400M14400M480480元元/M/M691.2691.2万元万元江苏省一期江苏省一期P2PP2P监控系统估算监控系统估算: :16168Ge8Ge6.76.7万万/Ge/Ge857.6857.6万元万元江苏电信江苏电信江苏电信江苏电信P2PP2PP2PP2P抑制成效估算抑制成效估算抑制成效估算抑制成效估算P2PP2PP2PP2P监控系统收益分析监控系统收益分析监控系统收益分析监控系统收益分析江苏省出口共节省带宽投资江苏省出口共节省带宽投资691.2691.2万元万元, ,江苏省出口带宽为江苏省出口带宽为160G160G20052005年,中国电信省出口带宽为年,中国电信省出口带宽为1529G,1529G,可推算全国节省带宽投资可推算全国节省带宽投资1529*(691.2/160)=6605.281529*(691.2/160)=6605.28万元万元根据各厂家监控系统估算投资回收期根据各厂家监控系统估算投资回收期信风系统信风系统10244.3/6605.28=1.5510244.3/6605.28=1.55年年华为系统华为系统11008.8/6605.28=1.6711008.8/6605.28=1.67年年宽广系统宽广系统9938.5/6605.28=1.509938.5/6605.28=1.50年年64P2P监控部署建议监控部署建议建议遵循总量控制和流量本地化的原则,建议遵循总量控制和流量本地化的原则,分层分级部署分层分级部署P2PP2P监控系统监控系统国际和互联互通出口部署建议建议对所有链路实施建议对所有链路实施P2PP2P监控监控为保证用户的其它应用体验不受影响,建议对流入的P2P流量实施总量控制可采用的方案包括类、类和类方案可采用的方案包括类、类和类方案鉴于P2P总量控制的原则,可优先选择A类和C类方案对于A类方案,目前可只部署在出方向链路上,以节省投资对于C类方案,需要部署在双向链路上65P2P监控部署建议监控部署建议省际链路部署建议建议对业务省的所有省际链路实施建议对业务省的所有省际链路实施P2PP2P监控,实现部分监控,实现部分P2PP2P流量本地化流量本地化建议对流入的P2P流量实施总量控制鉴于鉴于P2PP2P总量控制的原则,可优先选择总量控制的原则,可优先选择A A类和类和C C类方案类方案对于A类方案,目前可只部署在出方向链路上,以节省投资对于C类方案,需要部署在双向链路上暂不对非业务省的省际链路实施暂不对非业务省的省际链路实施P2PP2P控制控制城域网部署建议不建议在城域网全面部署不建议在城域网全面部署P2PP2P监控系统监控系统建议对业务城域网所有出口链路实施建议对业务城域网所有出口链路实施P2PP2P流量控制流量控制建议对流入的P2P流量实施总量控制,优先选择A类和B类方案对于A类方案,目前可只部署在出方向链路上,以节省投资对于B类方案,需要部署在双向链路上建议在城域网局部热点地区(如大学等)部署建议在城域网局部热点地区(如大学等)部署P2PP2P监控设备监控设备, ,以防止以防止局部拥塞局部拥塞优先选择B方案66VOIP监控部署分析监控部署分析非法VOIP造成传统语音业务的流失,对非法VoIP的打击应以挽回话务流失为目标,因此,VOIP的控制应以市场策略为主、技术控制为辅目前VoIP控制应以检测到VoIP经营者和使用者为主要目标,封堵干扰为辅助手段,因此,可针对不同链路机动部署从江苏和其它省份的情况看,单向监测从江苏和其它省份的情况看,单向监测VOIPVOIP流量,可达到一定监控效果流量,可达到一定监控效果67VOIP监控系统投资估算监控系统投资估算监控系统监控系统国际出口国际出口(120G120G)网际出口网际出口(47.5G)47.5G)省出口省出口(1529G)(1529G)城域网出口城域网出口(2049G)(2049G)信风系统信风系统804(万元)318.25 (万元)10244.3 (万元)13728.3 (万元)华为系统华为系统864 (万元)342 (万元)11008.8 (万元)14752.8 (万元)宽广平台宽广平台780 (万元)308.75 (万元)9938.5 (万元)13318.5 (万元)说明:说明:1. 1. 链路总带宽为八扩之前的数据,源自规划文稿链路总带宽为八扩之前的数据,源自规划文稿 2.2.信风和华为系统都是单向监测,若双向监测,成本应在基础上乘以信风和华为系统都是单向监测,若双向监测,成本应在基础上乘以2 2 3. 3.宽广系统宽广系统SSSSSS平台采用串接方式,进行双向监测平台采用串接方式,进行双向监测4.4.增收估算取自深圳电信增收估算取自深圳电信20052005年数据年数据每月预计增收每月预计增收152.4152.4万元,预计增加年收入:万元,预计增加年收入:12*152.4=1828.812*152.4=1828.8万万深圳城域网出口链路带宽为深圳城域网出口链路带宽为12*10G=120G12*10G=120G中国电信城域网出口带宽为中国电信城域网出口带宽为2049G2049G,可推算全国增收,可推算全国增收2049*(1828.8/120)=31226.76万万根据各厂家监控系统估算投资回收期根据各厂家监控系统估算投资回收期信风系统:信风系统:13728.3/31226.76=0.44年年华为系统华为系统14752.8/31226.76=0.47年年宽广系统宽广系统13318.5/31226.76=0.43年年68VOIP监控实施建议监控实施建议建议对国际和互联互通的所有链路实施VOIP监控优先选择A方案,可只部署在出方向链路上,以节省投资建议在所有省份的省际链路机动部署VOIP监控设备可可采用类和类解决方案实施VOIP监控优先选择A类方案,可只部署在出方向链路上,以节省投资机动部署原则:在每个省的汇接节点所在城市部署一套系统,每套系统所采集流量应能覆盖单台路由器的所有省际链路建议在VoIP分流严重的本地城域网出口链路机动部署VOIP监控系统采用类和类解决方案实施VOIP监控优先选择A类方案,可只部署在出方向链路上,以节省投资机动部署原则:每套系统所采集流量应能覆盖单台城域网出口路由器的所有上行链路建议在省际链路和城域网出口链路全部部署分光器,以便设备的机动部署69业务流量分析模块投资估算业务流量分析模块投资估算监控系统监控系统国际出口国际出口(120G120G)网际出口网际出口(47.5G)47.5G)省出口省出口(1529G)(1529G)城域网出口城域网出口(2049G)(2049G)信风系统信风系统804(万元)318.25 (万元)10244.3 (万元)13728.3 (万元)华为系统华为系统864 (万元)342 (万元)11008.8 (万元)14752.8 (万元)宽广平台宽广平台1104 (万元)437 (万元)14066.8 (万元)18850.8 (万元)1.江苏系统一期工程按GE接口估算为1093/128=8.54w/GE,其中软件费用为315.5w,共4个模块,折合为315.5/128/4=0.62W,因此,按P2P监控功能估算,每GE端口折合价格为6.7W2.华为SIG系统按江苏一期工程估算,每GE接口价格为1170/128=9.14w,每个功能模块的价格折合为GE:500/128/2=1.95W,因此,按P2P功能估算,每GE端口折合价格为7.2W3.宽广电信UA平台,每个OC48接口的平台价格为23W,折合每G价格为9.2W说明:说明:1. 1. 链路总带宽为八扩之前的数据,源自规划文稿链路总带宽为八扩之前的数据,源自规划文稿 2.2.信风和华为系统都是单向监测,若双向监测,成本应在基础上乘以信风和华为系统都是单向监测,若双向监测,成本应在基础上乘以2 2 3. 3.宽广系统宽广系统UAUA平台采用并接方式,进行双向监测平台采用并接方式,进行双向监测70用户行为分析模块投资估算用户行为分析模块投资估算估算说明:1.每用户的平均带宽按1.5M估算;宽带用户收敛比按1:3计算,3000万宽带用户中,同时在线的用户为1000万,则总体带宽为15000G3.信风系统单台前置设备和服务器价格分别为6.7万和18万,服务器:前置机=1:60,所以单台价格折合为7万4.华为系统单台前置设备和服务器价格分别为3.5万和5万,服务器:前置机=1:10,所以单台价格折合为4万5.宽广系统单台前置设备和服务器价格分别为16万和80万,服务器:前置机=1:40,所以单台价格折合为18万6.总体估价单台价格*总体带宽/设备能力监控系统监控系统设备能力设备能力单台价格单台价格总体估价总体估价信风系统信风系统双向双向1G1G7 7万万10.510.5亿亿华为系统华为系统双向双向1G1G4 4万万6 6亿亿宽广系统宽广系统双向双向2G2G1818万万13.513.5亿亿
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号